Project

General

Profile

Scénario #18722

Proxy 1 carte: les sites exclus de l’authentification doivent s’afficher (Cntlm)

Added by Daniel Dehennin about 3 years ago. Updated almost 3 years ago.

Status:
Terminé (Sprint)
Priority:
Normal
Assigned To:
Category:
-
Start date:
02/21/2017
Due date:
04/14/2017
% Done:

100%

Estimated time:
(Total: 4.75 h)
Spent time:
(Total: 5.80 h)
Story points:
1.0
Remaining (hours):
0.00 hour
Velocity based estimate:
Release:
Release relationship:
Auto

Description

Problème

Sur le proxy 1 carte, le passage par cNTLM est non fonctionnel pour les sites exclus du cache et/ou de l’authentification ne s’affiche pas.

Le navigateur obtient une réponse la connexion a été réinitialisée.

Le problème n’est pas reproductible sur la cible etb1.

Proposition

Aucune idée


Subtasks

Distribution EOLE - Tâche #19270: Correction PROXY-T01-005 - Navigation proxy site à ne pas authentifier (2.6.1-b3)Fermé

Distribution EOLE - Tâche #19744: Correction PROXY-T01-005 - Navigation proxy site à ne pas authentifier (34 - EolebaseProxy - 2.6.1-b4)Fermé

Distribution EOLE - Tâche #19750: Correction PROXY-T01-005 - Navigation proxy site à ne pas authentifier (34 - EolebaseProxy - 2.6.1-b4)Fermé

Tâche #20164: Les exceptions d'authentification proxy devraient être présentes dans wpad.eth0FerméJoël Cuissinat

Tâche #20168: Ajouter une note dans la doc au sujet de l'incompatibilité Cntlm/domaines à ne pas authentifierFerméJoël Cuissinat

History

#1 Updated by Daniel Dehennin about 3 years ago

  • Description updated (diff)

#2 Updated by Ludovic Landucci about 3 years ago

Bonjour,

Sur un Amon 2.4.2 on reproduit également le problème. Qu'il s'agisse de site http / https. Un ouvre.firewall ne change rien.

Aucun problème en passant directement par dansguardian sur 3128.

Pour le site https://webmail.ac-dijon.fr
Lorsqu'il est exclu de l'authentification :
Jan 26 12:04:34 pf24-0710025s (squid): 1485428674.923 62 10.171.142.1 TCP_MISS/200 0 CONNECT webmail.ac-dijon.fr:443 - DIRECT/195.221.236.109 -
Jan 26 12:04:34 pf24-0710025s (squid): 1485428674.989 64 10.171.142.1 TCP_MISS/200 0 CONNECT webmail.ac-dijon.fr:443 - DIRECT/195.221.236.109 -
Jan 26 12:04:35 pf24-0710025s (squid): 1485428675.053 63 10.171.142.1 TCP_MISS/200 0 CONNECT webmail.ac-dijon.fr:443 - DIRECT/195.221.236.109 -
Jan 26 12:04:35 pf24-0710025s (squid): 1485428675.118 62 10.171.142.1 TCP_MISS/200 0 CONNECT webmail.ac-dijon.fr:443 - DIRECT/195.221.236.109 -
Jan 26 12:04:35 pf24-0710025s (squid): 1485428675.431 311 10.171.142.1 TCP_MISS/200 0 CONNECT webmail.ac-dijon.fr:443 - DIRECT/195.221.236.109 -
Jan 26 12:04:35 pf24-0710025s (squid): 1485428675.682 248 10.171.142.1 TCP_MISS/200 0 CONNECT webmail.ac-dijon.fr:443 - DIRECT/195.221.236.109 -
Jan 26 12:04:35 pf24-0710025s (squid): 1485428675.746 62 10.171.142.1 TCP_MISS/200 0 CONNECT webmail.ac-dijon.fr:443 - DIRECT/195.221.236.109 -
Jan 26 12:04:35 pf24-0710025s (squid): 1485428675.816 68 10.171.142.1 TCP_MISS/200 0 CONNECT webmail.ac-dijon.fr:443 - DIRECT/195.221.236.109 -
Jan 26 12:04:35 pf24-0710025s (squid): 1485428675.880 62 10.171.142.1 TCP_MISS/200 0 CONNECT webmail.ac-dijon.fr:443 - DIRECT/195.221.236.109 -
Jan 26 12:04:35 pf24-0710025s (squid): 1485428675.945 62 10.171.142.1 TCP_MISS/200 0 CONNECT webmail.ac-dijon.fr:443 - DIRECT/195.221.236.109 -

Lorsque le site webmail.ac-dijon.fr est supprimé des exclusions d'authentif :
Jan 26 12:05:38 pf24-0710025s (squid): 1485428738.786 30439 10.171.142.1 TCP_MISS/200 85636 CONNECT webmail.ac-dijon.fr:443 eleve0 DIRECT/195.221.236.109 -
Jan 26 12:05:38 pf24-0710025s (squid): 1485428738.786 30439 10.171.142.1 TCP_MISS/200 106446 CONNECT webmail.ac-dijon.fr:443 eleve0 DIRECT/195.221.236.109 -
Jan 26 12:05:38 pf24-0710025s (squid): 1485428738.787 31448 10.171.142.1 TCP_MISS/200 168072 CONNECT webmail.ac-dijon.fr:443 eleve0 DIRECT/195.221.236.109 -

Pour info, j'ai laissé le site exclu du cache. Je pense que le problème ne se pose que lorsque le site est exclu de l'authentification.
On a constaté exactement la même chose avec le site http://perdu.com

On continue les tests ...

#3 Updated by Ludovic Landucci about 3 years ago

Bon, j'ai testé avec la version cntlm d'un Amon 2.3 et je n'ai plus le problème ! ! !

md5sum de cntlm d'un amon 2.4 : cdbfa65dfdefd7ec66e8a17561c24bf1
md5sum de cntlm d'un amon 2.3 : b5b52929641dc2f6ccc7d6e0050c7267

Avec le site exclu :
Jan 26 12:23:58 pf24-0710025s (squid): 1485429838.756 17310 10.171.142.1 TCP_MISS/200 190578 CONNECT webmail.ac-dijon.fr:443 - DIRECT/195.221.236.109 -
Jan 26 12:23:58 pf24-0710025s (squid): 1485429838.756 18582 10.171.142.1 TCP_MISS/200 168072 CONNECT webmail.ac-dijon.fr:443 - DIRECT/195.221.236.109 -
Jan 26 12:23:58 pf24-0710025s (squid): 1485429838.756 17311 10.171.142.1 TCP_MISS/200 1259 CONNECT webmail.ac-dijon.fr:443 - DIRECT/195.221.236.109 -
Jan 26 12:23:58 pf24-0710025s (squid): 1485429838.825 66 10.171.142.1 TCP_MISS/200 0 CONNECT webmail.ac-dijon.fr:443 - DIRECT/195.221.236.109 -
Jan 26 12:23:59 pf24-0710025s (squid): 1485429839.396 89 10.171.142.1 TCP_MISS/200 0 CONNECT webmail.ac-dijon.fr:443 - DIRECT/195.221.236.109 -
Jan 26 12:23:59 pf24-0710025s (squid): 1485429839.396 88 10.171.142.1 TCP_MISS/200 0 CONNECT webmail.ac-dijon.fr:443 - DIRECT/195.221.236.109 -

Sans le site exclu de l'authentif :
Jan 26 12:26:12 pf24-0710025s (squid): 1485429972.309 52863 10.171.142.1 TCP_MISS/200 192487 CONNECT webmail.ac-dijon.fr:443 eleve0 DIRECT/195.221.236.109 -
Jan 26 12:26:12 pf24-0710025s (squid): 1485429972.310 52865 10.171.142.1 TCP_MISS/200 1259 CONNECT webmail.ac-dijon.fr:443 eleve0 DIRECT/195.221.236.109 -
Jan 26 12:26:12 pf24-0710025s (squid): 1485429972.310 53286 10.171.142.1 TCP_MISS/200 161752 CONNECT webmail.ac-dijon.fr:443 eleve0 DIRECT/195.221.236.109 -

#4 Updated by Scrum Master about 3 years ago

  • Tracker changed from Proposition Scénario to Scénario

#5 Updated by Joël Cuissinat about 3 years ago

  • Due date set to 03/24/2017
  • Target version set to sprint 2017 10-12 Equipe MENSR
  • Start date set to 03/06/2017
  • Release set to EOLE 2.6.1

#6 Updated by Joël Cuissinat about 3 years ago

  • Story points set to 2.0

#7 Updated by Joël Cuissinat about 3 years ago

  • Target version changed from sprint 2017 10-12 Equipe MENSR to sprint 2017 13-15 Equipe MENSR

#8 Updated by Joël Cuissinat about 3 years ago

  • Assigned To set to force indigo

#9 Updated by Joël Cuissinat about 3 years ago

  • Story points changed from 2.0 to 3.0

#10 Updated by Scrum Master about 3 years ago

  • Story points changed from 3.0 to 1.0

Rédiger une notice

Voir E Garette

#11 Updated by Joël Cuissinat almost 3 years ago

  • Subject changed from Proxy 1 carte: les sites exclus du cache et/ou de l’authentification doivent s’afficher to Proxy 1 carte: les sites exclus du cache et/ou de l’authentification doivent s’afficher (Cntlm)

Si l'utilisation du proxy Cntlm est forcée dans le navigateur alors les domaines de destination bénéficiant d'une exception d'authentification ne sont plus accessibles (avec Firefox, message d'erreur : La correction a été réinitialisée).
En effet, le proxy Cntlm envoie obligatoirement une requête d'authentification à son proxy parent pour tous les sites visités mais si le site n'en requiert pas ce dernier ne joue pas l'authentification et la requête échoue.
Sur les modules EOLE, WPAD est configuré pour rediriger les sites exclus de l'authentification directement vers le proxy et non vers Cntlm.
L'utilisation de WPAD est donc la solution recommandée pour que l'authentification Cntlm soit pleinement fonctionnelle, y compris en mode 1 carte.

#12 Updated by Joël Cuissinat almost 3 years ago

  • Subject changed from Proxy 1 carte: les sites exclus du cache et/ou de l’authentification doivent s’afficher (Cntlm) to Proxy 1 carte: les sites exclus de l’authentification doivent s’afficher (Cntlm)

#13 Updated by Fabrice Barconnière almost 3 years ago

  • Status changed from Nouveau to Terminé (Sprint)

Also available in: Atom PDF